본문 바로가기

공지사항

이스트시큐리티 소식을 알려드립니다.

유틸리티 프로그램으로 가장하여 유포되는 악성코드 주의

보안공지 2012-11-05

안녕하세요. 알약대응팀입니다.
최근, 블로그나 인터넷 커뮤니티 등에서 사용자들이 많이 사용하는 유틸리티 프로그램으로 가장하여 악성코드를 유포하는 경우가 급증하고 있으니 주의바랍니다.


지금까지 악성코드들이 포함되어 주로 배포되었던 프로그램들은 게임핵 프로그램을 가장하거나 키젠과 같은 크랙용 프로그램들이 대부분이었습니다. 하지만 지난 10월부터 이러한 크랙용 프로그램뿐만 아니라 사용자들이 많이 사용하는 유틸리티 프로그램에 악성코드를 넣고 리패키징하여 블로그나 인터넷 커뮤니티등에 올려 사용자들에게 유포하는 경우가 증가하고 있습니다. 국내의 대다수 사용자들은 사용하려는 유틸리티 프로그램을 다운받기 위해 포털 사이트에 프로그램 이름을 입력하고 검색된 결과를 확인해 해당 파일을 다운로드 받는 패턴을 보여주는데 이때, 검색결과 상단에 뜨는 블로그나 커뮤니티등에 포함된 포스팅에 포함된 첨부파일을 다운로드 하여 설치하게 되면 정상적인 프로그램과 함께 악성코드도 설치됩니다.


사용자PC에 감염된 악성코드는 다음과 같은 악성행위를 수행합니다.


1. 악성행위를 하는 파일을 드롭시키고 특정서버에 접속하여 해커가 의도하는 또 다른 파일을 다운로드 한다.
2. 감염된 시스템의 정보를 특정 서버로 전송하고 해커의 명령을 대기하게 된다.
3. 특정 게임이 실행되는지 체크하여 해당 게임의 실행화면 및 게임 실행화면에 나타난 사용자 정보를 해커에게 전송한다.


이들은 주로 개인개발자가 제작한 유명한 유틸리티 등을 노리고 있으며, 자신들이 악성코드를 유포하고 있다는 정황을 알아채지 못하게 악성코드를 유포하는 블로그나 인터넷 커뮤니티등에 실제 제품의 리뷰를 올리거나 실제로 운영되는 블로그처럼 보이도록 댓글작업 또는 유사한 성격의 다른 글들을 올려 사용자들로 하여금 문제가 전혀 없는 곳처럼 착각하게 하고 있습니다. 또한 정상적으로 유틸리티 프로그램이 설치되어 동작하기 때문에 더욱 의심이 어려운 상황입니다. 지금까지는 사용자들이 많이 사용하는 유명 프로그램을 리패키징 하거나 다운로더 프로그램을 통해서 스폰서 프로그램을 함께 설치하는 애드웨어 형태가 대다수였으나, 지난달부터 단순히 스폰서 프로그램이 아닌 악성코드를 삽입한 후 리패키징하여 유포하는 케이스가 급증하고 있습니다.


프로그램 설치 시 반드시 개발사/배포사의 공식 홈페이지나 신뢰할 수 있는 사이트에서 공식적으로 제공하는 자료를 이용하시기 바랍니다.